现代网络犯罪分子已经改变了数据保护的规则。曾经被视为简单安全网的备份,如今已成为勒索软件和高级网络攻击的主要目标。
攻击者知道,破坏恢复系统会给企业带来致命打击。仅有备份已经不够了;您需要积极主动地确保备份数据生命周期的安全,以实现真正的网络复原力。
为什么传统的备份检查会失败?
传统的备份检查往往提供了一种虚假的安全感,无法检测到使组织面临风险的不断变化的威胁。传统方法只关注基本的完整性和可用性,却忽略了以下关键漏洞:
- 文件传播的威胁,如基于文件的漏洞、零日漏洞或隐藏在备份文件(尤其是存档、数据库和机器映像)中的复杂恶意软件
- 绕过基于签名的检测的多态勒索软件
- 通过文件漂移或元数据漂移对文件进行微妙但恶意的修改
- 恢复受感染的数据会立即引发再次感染、恢复失败和停机时间延长
- 严格的监管要求(如 GDPR、PCI DSS、SOX 和避风港)
恢复的实际情况与期望值相差甚远,这表明企业认为自己可以实现的目标与停机期间的实际表现之间存在巨大差距。最近的一项调查显示,虽然超过 60% 的受访者认为他们可以在一天内恢复,但在面对实际事件时,只有 35% 的受访者真正做到了这一点。
要解决这些缺陷,企业就必须从根本上转变备份安全的方法,从简单的验证转变为全面的威胁检测和预防。如果不进行这种变革,备份系统仍然会受到复杂攻击的危险威胁,这些攻击可能会在最需要恢复的时候使恢复工作徒劳无功。
企业必须实施多层次的安全实践,专门针对这些盲点,将先进技术与战略流程相结合,确保备份始终可用且不受损害。恢复期望与现实之间日益扩大的差距是一个严峻的警示:传统方法已无法提供足够的保护。
Secure 备份Secure 的 8 项关键措施
以下综合战略构成了真正安全的备份生态系统的基础--它不仅能保存数据,还能在需要恢复时确保数据的完整性和可用性。通过实施这八项关键实践,企业可以将脆弱的备份存储库转变为弹性资产,即使面对意志坚定的对手,也能保持业务连续性。
1.3-2-1-1-0 规则
3-2-1-1-0 备份规则是对传统3-2-1 方法的现代化演进,专门用于提高灾难恢复战略中的网络复原力和安全性:
- 三份数据副本:总共保留三份数据副本(一份主副本和两份备份)。
- 两种不同的Media 类型:将备份存储在两种不同的介质类型上。传统的备份方式可能包括磁盘和磁带,而现代的备份方式通常包括云存储或固态硬盘。
- 异地备份一份:在不同地点至少保存一份副本,云备份解决方案可轻松实现这一点(在不同地区或不同的云提供商)。
- 离线、空气屏蔽或不可更改的副本:维护一个完全与网络断开(离线/空气屏蔽)或写入后无法更改(不可变)的副本。这对勒索软件保护至关重要,可提供攻击者无法破坏的干净恢复选项。
- 零错误:定期校验备份,确保它们没有错误,并在需要时实际可用。
拥有多个备份只是成功的一半。企业必须同样关注恢复时间目标(RTO),即如何快速、安全地恢复关键服务。在发生灾难的情况下,无论是勒索软件、复杂的威胁还是有针对性的网络攻击,在不重新引入恶意软件或违反合规性的情况下在几分钟内恢复的能力,是网络弹性组织与脆弱组织的区别所在。
下一个规划阶段是确保安全性、可靠性和就绪性。这就是多层存储安全解决方案发挥关键作用的地方。
2.定期扫描
实施定期扫描是初始备份验证之外的一个重要防御层。时间点扫描可提供备份完整性的快照,而定期计划扫描则可确保持续防护新出现的威胁,这些威胁在首次创建备份时可能无法检测到。
恶意软件检测是定期恢复测试中不可或缺的一部分。如果不将强大的恶意软件扫描集成到备份验证流程中,即使是最缜密的备份策略也可能在实际恢复场景中失败,因为它会重新引入企业试图恢复的威胁。
3.Multiscanning 方法
在允许所有文件进入网络或备份存储之前,应对其进行恶意软件扫描。为了实现最高的检测率和最短的恶意软件爆发时间,请使用多重扫描解决方案,使用多个反恶意软件引擎(结合使用签名、启发式和机器学习检测方法)扫描文件。
4.基于雅苒的检测
YARA规则使安全团队能够使用基于特定文件特征的定制规则,在备份存储库中识别复杂的恶意软件。通过实施精确定义的字符串和条件逻辑,企业可以检测到基于签名的解决方案可能会忽略的威胁,包括有针对性的攻击和新出现的攻击。
YARA 的适应性框架允许不断完善检测能力,从而创建一个动态防御层,显著提高备份验证流程的精确度。
5.Adaptive 威胁分析
Sandbox 技术使企业能够在隔离、受控的环境中检测和分析零时差恶意软件,以免其危及恢复操作。通过将该技术与深度静态分析功能、高级威胁情报集成和高速仿真技术相结合,安全团队可以有效识别传统基于签名的扫描可能会遗漏的复杂恶意软件变种或 IOC(入侵指标)。
6.内容 解除武装与重建
Microsoft Office、PDF 和图像文件等文件可能会在隐藏脚本和宏中嵌入威胁,而反恶意软件引擎并非总能检测到这些威胁。要消除风险并确保备份文件不包含隐藏威胁,最好的做法是使用 CDR(内容解除和重建)删除任何可能的嵌入对象。
8.防止数据丢失
应使用 DLP(数据丢失防护)技术编辑、屏蔽或阻止所有敏感数据,如社会安全号、银行账户详情或 PII(个人身份信息)。
将备份安全从防御提升到恢复能力
成功保护备份基础架构的企业获得的不仅仅是数据安全,还能实现真正的业务恢复能力、合规性,以及在最需要时恢复操作成功的信心。对适当安全备份的投资所带来的回报远远超出了实施备份所需的资源,尤其是与勒索软件攻击、数据泄露或失败的恢复尝试所带来的破坏性成本相比。
OPSWAT 优势
MetaDefender Storage Security™ 将关键实践统一到一个解决方案中。借助OPSWAT的 MetaScan™Multiscanning扫描、Deep CDR™、Proactive DLP™ 和Adaptive Sandbox 等领先技术,您的备份数据将保持清洁,并在分秒必争的情况下随时可供访问。
我们的主要功能之一是快速变更检测。MetaDefender Storage Security 通过定期分析持续监控备份存储库。当发生安全事件或勒索软件攻击时,管理员可根据已知文件的完整性检查激活差分扫描。这种快速变化检测功能可通过快速识别哪些备份集未受破坏,使企业能够从最新的干净备份点恢复操作,从而极大地减少了RTO(恢复时间目标)。
结论
不要等到安全事件发生时才暴露备份策略中的漏洞。现在就采取积极措施,评估您当前的备份安全态势,并确定改进机会。我们的安全专家可以帮助您评估现有的基础架构,推荐符合这些最佳实践的定制解决方案,并指导您实施全面的备份安全框架。
立即联系我们的专家,讨论如何加强备份安全态势,在日益恶劣的数字环境中实现真正的网络复原力。
常见问题 (FAQ)
什么是数据备份和恢复?
数据备份和恢复 是创建数据副本以防止数据丢失或损坏,并在需要时恢复数据的过程--无论是由于意外删除、硬件故障还是勒索软件等网络攻击。
数据备份和恢复为何重要?
它使企业能够在事故发生后恢复关键系统和数据,最大限度地减少停机时间、经济损失和声誉损害,从而确保业务连续性。在当今的威胁环境下,它还支持合规性和灾难恢复。
什么是数据备份安全?
数据备份安全是指用于保护备份数据免受未经授权的访问、损坏或网络威胁的实践和技术--确保备份在危机期间保持可用、未受损伤和可恢复。
确保备份安全的最佳方法是什么?
确保备份安全的最佳实践有很多;多层次方法是网络安全专家最推崇的方法之一。实施 3-2-1-1-0 备份规则,使用多种反恶意软件引擎定期扫描备份,使用 CDR、沙箱和 DLP 技术消除嵌入式威胁并保护敏感数据。
数据备份有哪三种类型?
1.完整备份:所有数据的完整副本。
2.增量备份:只备份上次备份后发生变化的数据。
3.差异备份:备份自上次完全备份后发生变化的所有数据。
什么是 3-2-1 后备规则?
保存三份数据副本,分别存储在两种不同类型的介质上,其中一份在异地保存。这样可以提供冗余并防止局部故障。
什么是 3-2-1-1-0 后备规则?
传统模式的进化:
- 总共3 份数据副本
- 2种不同的介质类型
- 1 份异地副本
- 1 份离线、空气屏蔽或不可变的副本
- 备份验证无差错,确保备份在需要时可用
